1、ICS 35.040 L 80 华G/T 24363 2009 息Information security technology一Specifications of emergency response plan for information security 2009-09喃30发布2009-12-01实施发布E4| 前言引言范围规范性引用文件术语和定义缩略语应急响应计划风险评估业务影响分析定应急响急响应计划文裆概述l 2 3 4 5 5. 1 5. 2 5.3 G/T 24363 2009 目次. . . . . . . . . . . . . . . . . . . . . . . .
2、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . mu . . . . . . . . . . . . . . . . . . . . . N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 . . . . . . . .
3、. . . . . . . . . . . . . . . l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 准备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 . . . . . . . . . . . . .,. 2 . . . . . . . . . . .,. . . . . . . . . . . . . . .
4、. . . . . . . . 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 6. 1 6.2 6.3 6.4 6.5 6.6 . . . . . . . . . . . . 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 角色及职责. . . 预防和咽
5、3-)011回U应急响应流程应急响M但阳措刷4 5 5 7 6. 7 编制计划必需的附件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 7 应急响应计划的测试、培训11、演练和维护7.1 应急响应计划的测试、培训和演练7.2 应急响应计划的管现和维护.,. . 附录A(资料性附录)信息安全应急响应计划示例一一xx大学信息安全应急响应预案. . 10 附录B(资料性附录业务影响分析(BIA)示例. . . . . . . . . . . . . . . . . . . . . .
6、18 附录c(资料性附录)业务影响分析(BIA)模板. . . . . . . . . . . . . 20 附录D(资料性附录呼叫树示例和联系人清单表. . . . . . . . . . . . . . . . . . . . . 22 参考文献. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 I GB/T 24363 2009 前本标准的附录A、附录B、附录C、附录D为资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位z中国科学院研究生院国家计算机网络入侵防范中心、中国电子技术
7、标准化研究所。本标准主要起革人z、付安民、肖晖、游双燕、刘奇旭、宋杨、陈深龙、许玉娜、上官。mm GB/T 24363 2009 sl 本标准根据中华人民共和国计算机信息系统安全保护条例),参照GB/Z20985 2007 (信息技术安全技术信息安全事件管理指南、GB/T20988 2007信息安全技术信息系统灾难恢复范、GB/Z20986 2007SLA 服务水平协议(ServiceLevel Agreement) 5 应急响应计划的编制准备5. 1 风险评估标识信息系统的资产价值,识别信息系统商临的自然的和人为的威勋,识别信息系统的脆弱性,分析各种威胁发生的可能性。风险评估具体内容见GB/
8、T20984 2007的第5章风险评估实施和第6章信息系统生命周期各阶段的风险评估。5.2 业务影响分析5. 2. 1 概述业务影响分析(BIA)是在风险评估的基础上,分析各种信息安全事件发生时对业务功能可能产生,进而确定应急响应的恢复目标。5.2.2 分析业务功能和相关资源配置对单位或者部门的各项业务功能及各项业务功能之间的相关性进行分析,确定支持各种业务功的相应信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求。GB/T 24363 2009 5.2.3 确定信息系对信息系统进行评估,以系统所执行的, 定执行这些功的特定系。5.2.4 确定信息安全事件影响应采用如下的定量和/
9、或定性的方法,对业务中断、系统岩机、网进行评估2等信息安全事件造成的影响a) 定量分析一一以量化方法,评估业务中断、系统着机、网络瘫痪等可能给组织带来的直接经济损失和间接经济损失;b) 定性分析一一运用归纳与演绎、分析与综合以及抽象与概括等方法,评估业务中断、系统者机、网络瘫痪等可能给组织带来的非经济损失,包括组织的声誉、顾客的忠诚度、员工的信心、社会和政治影响等。5.2.5 确定应急响应的恢复目标根据业务影响分析的结果,同时结合GB/T22239和GB/T22240,确定应急响应的恢复目标,包括2a) 功优先顺序z的恢复时间范围,即恢复时间目标(RTO)和恢复点目标(RPO)的范围。5.3
10、制定应急晌应策略5.3. 1 概述应急响应策略提供了在业务中断、系统表机、网络瘫痪等信息安全事件发生后,快速有效地恢复信息系统运行的方法。这些策略应涉及到在业务影响分析(BIA)中确定的应急响应的恢复目标。5.3.2 系统恢复能力等级划分系统恢复能力可以划分为基本支持、备用场地支持、电子传输和部分设备支持、电子传输及完整设备支持、实时数据传输及完整设备支持、数据零丢失及远程集群支持等6个等级,具体划分遵GB/T 20988 2007的附录A灾难恢复能力等级划分。5.3.3 系统恢复资源的要求系统恢复资源的要求遵照GB/T20988 2007的6.3灾难恢复资源的要求。5.3.4 费用考虑信息系
11、统的使用或管理组织(以下简称组织勺应确保有足够的人员和资金执行所选择的策略。各种类型的备用站点、设备更换和存储方式的费用应与预算限制相平衡。应保证预算充足,应包括软件、硬件、差旅及运送、测试、计划培训项目、意识培训项目、劳务、其他合同服务以及任何其他适用资源的费用。组织应进行成本效益分析,以确定最佳应急响应策略。6 编制应急晌应计划文档6. 1 概述编制信息安全应急响应计划文档是应急响应规划过程中的关键一步。应急响应计划应描述支持应急操作的技术能力,并适应机构需求。应急响应计划需要在详细程度和灵活程度之间取得平衡,通常是计划越详细,其方法就越缺乏弹性和通用性。本标准说明了编制应急响应计划的要点
12、。计划编制者应根据实际情况对其内容进行适当地调整、充实和本地化,以更好地满足组织特定的系统、操作和机构需求。同时可以参考GB/Z20985 2007的第8章使用。应急响应计划应能为信息安全事件中不熟悉计划的人员或要求进行恢复操作的系统提供快速明的指导。计划应明确、简洁、易于在紧急情况下执行,并尽量使用检查列伍rH町司lIP恒。应急响应计划文档包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件6个部分。3 GB/T 24363 2009 6.2 总页。供了重要的背景或相关信息,使应急响应计划更容易理解、实施和维护。通常这部分包目的、编制依据、适用范围、工作原则等。a) 编
13、制目的g介绍制定信息安全应急响应计划的原因和目标zb) 编制依据=说明编制信息安全应急响应计划的依据zc) 适用范围=说明计划的作用范围,解决哪些问题,不解决哪些问题Fd) 工作原则z确定应急响应计划的组织和实施原则。6.3 角色及职6.3. 1 角色的划分组织应结合本单位日常机构建立信息安全应急响应的工作机构,并明确其职责,其中一些人可负责两种或多种职责,一些职位可由多人担任(应急响应计划文档中应明确他们的替代顺序)。应急响应的工作机构由管理、业务、技术和行政后勤等人员组成,一般来说,按角色可划分为5个功能小组z应急响应领导小组、应急响应技术保障小组、应急响应专家小组、应急响应实施小组和应急
14、响应日常运行小组等。组织应该根据其所具备的技能和知识将人员分配到这些小组中,理想的情况是,分配到相关小组中的人员在正常条件下负责的是相同或类似的工作。实际中,可以不必成立专门机构对应各功能小组,组织可以根据自身情况由其具体的某个或某几个部门或部门中的某几个人担当其中的一个或几个角色,组织可聘请具有相应资质的外部专家协助应急响应工作,也可委托具有相应资质的外部机构承担以及日常运行小组的部分或全部工作。在聘请外部专家协助应急响应工作或者委托外部机构承担部分或者全部应急响应工作时,需要和其签订相关协议(例如信息保密协议、服务水平协议、服务持续协议等)。6.3.2 功能小组的职责6. 3. 2. 1
15、应急响应领导小组是信息安全应急响应工作的组织构,组长应由组织最领导小组的职责是领导和决策信息安全应急响应的重大事宜,主要如下ga) 对应急响应工作的承诺和支持,包括发布正式文件、提供必要资源(人、财、物)等zb) 审核并批准应急响应策略zd 审核并批准应急响应计划;d) 批准和监督应急响应计划的执行pe) 启动定期评审、修订应急响应计划$0 负责组织内部的、外部的协调工作。6.3.2.2 应急晌应技术保障小应急响应技术保障小组的主要职责包括:a) 制定信息安全事件技术应对表;b) 制定具体角色和职责分工细则Fc) 制定应急响应协同调度方案;d) 考察和管理相关技术基础。6.3.2.3 应急晌应
16、专家小4 应急响应专家小组的主要职责包括za) 对重大信息安全事件进行评估,提出启动应急响应削廷队5b) 研究分析信息安全事件的相关情况及发展趋势,为应急响应提供咨询或提出。分析信息安全事件原因及造成的危害,为应急响,且民币且I刊。成员担任。3 气2GB/T 24363 2009 6.3.2.4 应急晌应实施小组应急响应实施小组的主要职责包括=a) 分析应急响应需求(如风险评估、业务影响分析等hb) 确定应急响应策略相寺驭;。实现应急响应策略Fd) 编制应急响应计划文裆Fe) 实施应急响应计划;f) 组织应急响应计划的测试、培训和演练;g) 合理部署和使用应急响11LJfl:源;h) 总结应急
17、响应工作,提交应急响应总结报告;i) 执行应急响应计划的评审、修订任务。6.3.2.5 应急响应日常运行应急响应日常运行小组的主要职责包括za) 协助灾难恢复系统的实施;b) 备份中心的日常管理;c) 备份系统的运行与维护pd) 应急监控系统的运作和维护;e) 落实基础物质的保障工作;f) 维护和管理应急响应计划文裆;g) 信息安全事件发生时的损失控制和损害评估zU 参与和协助应急响应计划的测试、培训和演练。6.3.3 组织的外部协作组织应与相关管理部门、设备设施及服务提供商(包括通信、电力等、利益相关方和新闻媒体等保持联络和协作,以确保在信息安全事件发生时,能及时通报准确情况并获得适当支持。
18、6.4 预防和预警机制6.4. 1 信息监测及报告组织应加强信息安全监测、分析和预警工作,建立信息安全事件报告和通报制度,发生信息安全事件的单位或者部门应当在信息安全事件发生后,立即向应急响应日常运行小组报告。6.4.2 应急响应日常运行小组接到信息安全事件报告后,应当经初步核实后,将有关情况及时向应急响应领导小组报告,并进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。应急响应领导小组视情况召集协调会,决策行动方案,发布指示和命令。6.4.3 积极推行信息安恢复。保护制度,基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难预防机制应被记录在应急响应计划中,应对系统相关的人员
19、进行培训11.使他们明确如何以及何时使用预防机制。预防机制应得到维护以处于良好状态,确保它们在信息安全事件中的有效性。6.5 应急晌应流程6.5. 1 事件通告6. 5. 1. 1 信息通6.5. 1. 1. 1 组织内信息通报在信息安全事件发生后,应通知应急响应日常运行要采取的行动。在损害评估完成后,应通知应急响应,使其能够确定事态的严重程度和下一步将 5 GB/T 24363 2009 息安全事件进行评估,息安全事件的类别6.5.2.2 事件分类事件分类遵照GB/Z20986 2007的第4章信息安全事件分类。6.5.2.3 事件定级遵照GB/Z20986 2007的第5章信息。6.5.3
20、 应急启动应急启动具体操作遵循如下规则za) 启动原则一快速、有序。b) 启动依据一一一般而言,对于导致业务中断、系统容机、网络瘫痪等突发/重大信息安全事件应立即启动应急。但由于组织规模、构成、性质等的不同,不同组织对突发/重大信息安全事件的定义可能不一样,因此,各组织的应急启动条件可能各不相同。启动条件可以基于以下方面考虑g人员的安全和/或设施损失的程度;系统损失的程度(如物理的、运作的或成本的h系统对于组织使命的影响程度z预期的中断持续时间等。只有当损害评估的结果显示一个或多个启动条件被满足时,应急响应计划才应被启动。启动方法一一由应急响应领导小组发布应急响应启动令。应急响应启动后,应急响
21、应领导小组要对人力、财力、物力到位生的JV I.J. 0 与督察,并记录实际发6 1) 呼叫树也叫电话链,是指姓名列表和所有可用的联系信息(如家庭电话和手机号码位于树顶的人负责呼叫他她的直属人员,向他们通知信息安全事件的发生,位于第二级的每个人接到通知后,应当负责通知直属的第三级人员。如果某级的某个人没有联系上,那么呼叫此人者应当负责呼叫此人直属层级的人员,并依次类推.6.5.4 应急处置6. 5. 4. 1 概述启动应急响应计划后,应立即采取相关措了信息安全事件影响后,复原系统的损害、在原系统或新设施中恢复运行6.5.4.2恢抑制信息安全事件作。恢复阶段的行等应急GB/T 24363 200
22、9 响,避免造成更大损失。在确定有中于建立临时业刀凡槌阳/4、。当恢复复杂系统时,恢复进程应反映出BIA中确定的系统优先顺序。恢复的顺序应反映出系统允许的中断时间,以避免对相关系统及业务的重大影响。6.5.4.3 恢复规为了进行恢复操作,应急响应计划应提供恢复的详细规程。规程应被设定给适当的恢复小组,并且通常涉及到以下行动=a) 获得访问受损设施和/或地理区域的授权FM 通知相关系统的内部和外部业务伙伴;c) 获得所需的办公用品和工作空间;d) 获得安装所需的硬件部件Fe) 获得装载备份介质;f) 恢复关键操作系统和应用软件FU 恢复系玩奴街Fh) 成功运行备用设备。恢复规程应按照直接和逐步的
23、风格书写。为了防止在信息安全事件中产生困难或混乱,不能假定或忽略规程的。6.5.5 后期处置6.5.5. 1 信息系统重在应急处置工作结束后,要迅,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。通过统计各种数据,查明原因,对信息安全事件造成的损失和影响以及恢复估,认真制订重建计划,迅速组织实施信息系统重建。6.5.5.2 应急晌应总结应急响应总结是应急处置之后应进行的工作,具体工作包括:a) 分析和总结事件发生的原因zb) 分析和总结事件的现象zc) 评估系统的损害程度Ed) 评估事件导致的损失;e) 分析和总结应急处置记录;f) 评审应急响应措施的效果和效率,并提出改进建议pu 评
24、审应急响应计划的效果和效率,并提出改进建议。6.6 应急晌应保6. 6. 1 概述进行分析评应急响应保障措施是信息安全应急响应计划的重要组成部分,是保证信息安全事件发生后能够快速有效地实施应急响应计划的关键要素。考虑到各个组织性质和需求可能存在很大的差异性,本条描述的具体内容是可选的,也可以做适当调整,但人力保障、物质保障和技术保障这三个大的方面是必要的。7 GB/T 24363 2009 6.6.2 人力6. 6. 2. 1 管理人为保障组织要依据自身的职责,制定具体角色和职责分工细则,细则需要制度化,并依据现有人员的实际情况制定合理的工作安排。工作安排要直接落实到人,形成所有工作人员的独立
25、工作手册,如有人员工作安排变动时,要及时更正工作手册。管理人力的具体保障由应急响应领导小组统一规划和组织管理。6. 6. 2. 2 技术人为保障技术人力保障通过建立应急响应技术保障小组和应急响应专家小组来进行保障,所有技术保障问一由技术保障小组负责。技术保障小组要依据应急的技术需要,制定具体角色和职责分工细则。要制度化,并依据现有人员的实际情况制定合理工作安排。工作安排要直接落实到人,形成所有工作人员的独立工作手册,如有人员工作安排变动时,要及时更正工作手册。由于技术保障小组除了建立自身的技术支持队伍外,所确定的角色与职责大多需要依赖合作者包括社会力量和专家等),因此,技术保障小组要建立完备的
26、技术培训机构和操作管理方案,保证新技术与应急响应技术的及时培训,保证应急响应技术的有效性。技术保障小组可以依据自身的工作特点、协作单位与人员的具体情况,制定应急响应协同调度方案,但无论采取什么方案,均要有具体的协同工作记录以各审计。6.6.3物6. 6. 3. 1 基础物质保障基础物质保障需求应与技术保障和日常管理相关联,即应保证日常技术保障的实现、日常管理工作的开展和应急响应技术服务在应急响应时的及时到位。物质需求自应急响应技术保障小组提出,由应急响应日常运行小组落实。6.6.3.2 应急晌应物质保应急响应物质保障包括财力保障、交通运输保障、治安维护和通信保障等部分za) 财力保障一一要保证
27、所需应急响应资金。b) 交通运输保障-要保证紧急情况F应急交通工具的优先安排、优先调度、优先放行,确保运。根据应急处置需要,对现场及相关通道实行交通管制,开设应急响应绿色通道,保证应急响应工作的顺利开展。c) 通信保障一一建立健全应急通信、应急广播电视保障工作体系,完善公用通信网,建立有线和元线相结合、基础电信网络与机动通信系统相配套的应急通信系统,确保且111回唱。6.6.4 技术6.6.4. 1 应急响应技术服务技术保障由应急响应技术保障小组统一负责,依据应急响应的需要,应急响应技术信息安全事件技术应对表,全面考察和管理相关技术基础,选择合适的技术服务者,明确职责和沟通方式。6.6.4.2
28、 日常技术保障日常技术保障包括事件监控与预警的技术保障,应急技术储备两部分。a) 事件监控与预警的技术保障一一事件监控与预警的技术保障由应急响应日常运行小组负责。应急响应日常运行小组应保证信息安全事件的快速发现和及时预警。对信息安全事件进行日常监控的方法(手段)、流程、记录等应明确职责,落实到人。b) 应急技术储备一一应急技术储备由应急响应技术保障小组配合应急处理技术服务和技术人力保障实现。6.7 编制计划必需的附件应急响应计划的附件提供了计划主体不包含的几种g节。常见的应急响应计划附件包括以下G/T 24363 2009 a) 具体的组织体系结构及人员职责;b) 应急响应计划各小组成员的联络
29、信息:c) 供应商联络信息,包括离站存储和备用站点的外部联系点(POC); d) 系统恢复或处理的标准操作规程和检查列表;。支持系统运行所需的硬件、软件、固件和其他资源的设备与系统需求清单,清单中的每个条目应包含型号或版本号、规定说明和数量等详细内容pf) 供应商服务水平协议(SLA)、与其他机构的互惠协议和其他关键记录Fg) 备用站点的描述和说明;h) 在计划制定前进行的BIA,包含关于系统各部分的相互关系、风险、优先级别等30 应急响应计划文档的保存和分发方法。7 应急晌应计划、回练和维护7. 1 应急响应计划的测试、培训和演练为了检验应急响应计划的有效性,同时使相关人员了解信息安全应急响
30、应计划的目标和流程,熟悉应急响应的操作规程,组织应按以下要求组织应急响应计划的测试、培训和演练=a) 预先制定测试、培训和演练计划,在计划中说明测试和演练的场景Eb) 测试、培训和演练的整个过程应有详细的记录,并形成报告;c) 测试和演练不能打断信息系统正常的业务运行;d) 每年应至少完成一次有最终用户参与的完整测试和演练。7.2 应急晌应计划的管理和维护7.2. 1 应急晌应计划文挡的保存与分发经过审核和批准的应急响应计划文档,应Ea) 由专人负责保存与分发;b) 具有多份拷贝,并在不同的地点保存zd 分发给参与应急响应工作的所有人员zd) 在每次修订后所有拷贝统一更新,并保留一套,以备查阅
31、Ee) r日版本应按有剧,凡响且。7.2.2 应急晌应计划文挡的维护为了保证应急响应计划的有效性,应从以下方面对应急响应计划文档进行严格的维护za) 业务流程的变化、信息系统的变更、人员的变更都应在应急响应计划文档中及时反映;b) 应急响应计划在测试、演练和信息安全事件发生后实际执行时,其过程均应有详细的记录,并应对测试、演练和执行的效果进行评估,同时对应急响应计划文档进行相应的修订Fc) 应急响应计划文档应定期评审和修订,至少每年一次。9 GB/T 24363 2009 录A(资料性附录)信息安全应急响应计划示例xx大学信息安全应急晌应预本附录提供了一个信息安全应急响应计划的编制示例。组织可
32、以参实际情况,制定本单位的信息安全应急响IJ!L.JJI。示例,并结合自身的大学校园网作为服务于教育、科研和行政管理的计算机网络,实现了校园内联网、信息共亭,并与Internet互联。随着各高校网络规模的急剧膨胀、网络用户数量的快速增长,校园网安全已经成为当前各高校网络建设中不可忽视的首要问题。高校在信息安全事件爆发后,启动事先准备的应急响应预案不仅能使信息系统尽快恢复到正常运行状态,最大限度地减少损失和影响,而且有利于危机过后的快速恢复。因此,编制一套科学完备、切实可行的应急响应预案对高校校园网络的正常运行有着十分重要的意义。A. 1 总则A. 1. 1 编制目的为了切实做好学校信息安全事件
33、的防范和应急响应工作,进步提高我校预防和控制信息安全事件的能力和水平,减轻或消除信息安全事件的危害和影响,确保我校校园网信息安全,结合学校工作实际,制定本应急响应预案。A. 1.2 编制为了贯彻落实中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信怠网络国际联网安全保护管理办法、国家信息化工作领导小组关于加强信息安全保障工作的意见和公安部、国务院信息化工作办公室等4部门关于信息安全等级保护工作的实施意见以及学校制定的,制定我校信息安全应急响应预案。A. 1.3 适用范围本预案适用于我校校园网运行及网络信息方面发生的有可能影响学校、社会和国家安全稳定的网络与信息安全突发事件,具体包
34、括ga) 攻击事件z指校园网络与信息系统因病毒感染、非法入侵等造成学校网站或部门二级网站主页被恶意篡改、交互式栏目和邮件系统发布有害信息z应用服务器与相关应用系统被非法入侵,应用服务器上的数据被非法拷贝、篡改、删除;在网站上发布的内容违反国家的法律法规、侵犯知识版权并造成严重后果等,由此导致的业务中断、系统容机、网络瘫痪等;b) 故肆事件z指校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统右机、网确m换寺3c) 灾害事件:指因洪水、火灾、雷击断、系统着机、网络瘫痪等。、台风等外力因素导致网络与信息系统损毁,造成业务中A. 1.4工10 校园网运行与网络信息安全事件
35、的处理原则:a) 依法管理=即坚决贯彻落实中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网安全保护管理办法、国家信息化工作领导小组关于加强信息安G/T 24363 2009 作的意见和公安部、国务院信息化工作办公室等4部门关于信息安全等级保护工作的实施意见以及学校制定的(x x大学网站公共信息管理暂行办法、(x x大学校园网络信息保密管理办法等文件精神;b) 分级负责、责任到头g学校一级由校园网络与信息安全应急响应领导小组负责,系处部门一级由系处部门主管领导负责,切实做到责任落实,层层负责Fc) 谁主管,谁负责z各系处部门除确定一名党政负责人主管网络信息与运行安全
36、外,必须确定一名专、兼职的网络信息及技术管理员,具体负责本部门网络运行及信息安全,及时掌握信息动态,清除各类不良信息,营造健康文明的网络环境,将有害信息造成的不良影响减小到最低度。A.2 角色及职责A. 2. 1 角色的划分及我校应急响应工作机构按角色划分为3个功能小组z应急响应领导小组,应急响应实施小组,应急响应日常运行小组。信息安全事件发生后,在应急响应领导小组的统一部署下,工作人员各司其职,并严格按照应急响应预案组织实施如下应急响应工作:a) 应急响应领导小组z在校党委和行政的领导下对学校的信息安全工作进行全面的分析研究,制定工作方案,提供人员和物质保证,指导和协调校内各单位实施信息安全
37、工作预案,处置各类危害校园信息安全的突发事件。具体职责包括制定工作方案,提供人员和物质保证,审核批准应急响应策略,审核批准应急响应预案,批准和监督应急响应预案的执行,指导应急响应实施小组的应急处置工作,启动定期评审、修订应急响应预案以及负责组织的外部协作。b) 应急响应实施小组:当由于系统崩溃、病毒攻击、非法入侵等原因造成校园网运行异常或瘫时,根据信息安全事件的发展态势和实际控制需要,具体负责现场应急处置工作,尽快恢复学校网络的正常运行。c) 应急响应日常运行小组(由学校网络信息中心承担):负责做好校园网信息安全的日常巡查及日志保存工作,以确保及阜发现网络异常。同时负责信息安全事件发生后的损失
38、控制和损害评估,并协助应急响应实施小组实施应急响应工作。应急响应工作机构具体设置见附件一。A. 2. 2 组织的外部协作息安全事件的影响程度,如需向上级部门及时通报准确情况或向其他单位寻求支持时,应与相关管理部门以及外部组织机构保持联络和协作。外部组织和机构主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)X X地区分中心、国家计算机网络应急技术处理协调中心(CNCERT /CC)、中国教育科研网络XX地区网络中心、中国教育科研网网络中心、XX市公安局网络安全监察室、XX省公安厅网络安全监察处、中国电信XX分公司网管中心以及主要相关设备供应商,如Cisco公司XX分公司等。A.3
39、 预防和预警机a) 校园网络现有和以后新建的网络通信平台、应用平台和信息系统,参照国家有关信息安全等级保护的要求,按照最终确定的保护等级采取相应的安全保障措施。不断完善网络安全防御系统,包括防火墙、入侵检测系统、网络杀毒系统、校内网络分布式防御系统等,并对网络设备的安全性进行合理配置,根据实际需要做好升级更新工作目b) 建立健全安全事件预警预报体系,严格执行校园网络与信息安全管理制度,常年坚持校园网GB/T 24363 2009 络安全工作值班制度。加强对校园网络与学校网站等重点信息系统的监测、监控和安全管理,滤及预警。日忘记录,设立内容过滤系统,确定合理规则,对校园网络进出信息实行过息网上发
40、布审批制度,对可能引发校园网络与信息安全事件的有关信息,要认真收集、分析、判断,发现有异常情况时,及时处理并逐级报告。c) 做好服务器及数据中心的数据备份及登记工作,建立灾难性数据恢复机制。一旦发生校园网络与信息安全事件,立即启动应急预案,采取应急处置措施,判定事件危害程度,并立即将情况向有关领导报告。在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。d) 特殊时期,可根据应急响应领导小组的统一要求和部署,由网络中心进行统一安排,组织专业技术人员对校园网络和信息数据采取加强性保护措施,对校园网络进行不间断的监控。A.4 应急响应流程A.4. 1 事件通告A.4. 1. 1 信息通报在
41、信息安全事件发生后,通知学校网络信息中心使其能够确定事态的严重程度和下一步将要采取的行动。在损害评估完成后,通知应急响应领导小组。应急响应领导小组在决定启动应急响应后,通知应急响应实施小组和学校网络信息中心负责人,并将事件的细节告知他们。收到应急响应领导小组的通知后,小组负责人应及时通知各自小组成员,并将所有适当信息通知各小组成员,小组成员应做好应急响应和重新配置的准备工作。需要通知的人员在附件中的联系人清单中标明,详见附件二。A.4.1.2 信息上报对于重大的校园信息安全事件,由应急响应领导小组报国家计算机网络应急技术处理协调中心CCNCERT!CC) X X地区分中心,请求上级领导帮助指导
42、,同时向XX市公安局网络安全监察室汇报。上报表格详见附件三。A.4.1.3 信息根据信息安全事件的严重程度,应急响应领导小组指派有关人员按照学校相关规定和要求及时向新闻媒体发布相关信息,同时其他小组和个人必须坚守各自岗位,未经允许,不得擅自发布误导信息,共同做好维护稳定工作。A.4.2 A. 4. 2. 1 概述信息安全事件发生后,学校网络中心对事件进行评估,确定事件的类别与级别。A.4.2.2 事件的分类校园网络与信息安全事件可分为三类2a) 攻击事件s指校园网络与信息系统因病毒感染、非法入侵等造成学校网站或部门二级网站主页被恶意篡改、交互式栏目和邮件系统发布有害信息F应用服务器与相关应用系
43、统被非法入侵,应用服务器上的数据被非法拷贝、篡改、删除;在网站上发布的内容违反国家的法律法规、侵犯知识版权并造成严重后果等,由此导致的业务中断、系统岩机、网络瘫痪等。b) 故障事件=指校园网络与信息系统因网络设备和计算机软硬件故障、人为误操作等导致业务中断、系统若机、网络瘫痪等。c) 灾害事件z指因洪水、火灾、雷击、地震、台风等外力因素导致网络与信息系统损毁,造成业务中断、系统着机、网Pl:.l7 0 A.4.2.3 事件的校园网络与信息安全事件分为三级z般皿级、重大CII级)和特别重大C1级).对应颜色依次为12 GB/T 24363 2009 蓝色、黄色和红色。一般事件,2002年6月.h
44、ttp:/csrc. nist. gov/publications/nistpubs/800-34/sp800-34. pdf. 2J NIST Special Publication 800-61 , Computer Security Incident Handling Guide, January 2004. http:/csrc. nist. gov/pub!ications/nistpubs/800-61/sp800-61. pdf. NIST SP 800-61,(计算机安全事件处理指南,2004年1月.http:/csrc. nist. gov/publications/nist
45、pubs/800-61/sp800-61. pdf. 3J NIST Special Publication 800-3 , Establishing a Computer Security Incident Response Capa bility, November 1991. http:/csrc.nist.gov/publications/nistpubs/800-3/800-3. pdf. NIST SP 800-3,(建立计算机安全事件响应能力机1991年11月.http:/csrc. nist. gov/publications/nistpubs/800-3/800-3. pdf
46、. 4J NIST Special Pub!ication 800-47 , Security Guide for Interconnecting Information Technolo gy Systems, August 2002. http:/csrc. nist. gov/publications/nistpubs/800-47/sp800-47. pdf. NIST SP 800-47 , (互联信息技术系统的安全指南,2002年12月.http;/csrc. nist. gov/publications/nist pubs/800-47/sp800-47. pdf. 5J NIST Special Publication 800-26 ,Security Self-Assessment Guide for Information Technolo gy Systems, Novem
